Pwn2Own’da Microsoft Teams, VirtualBox, Tesla Zero Days kullanılıyor

Pwn2Own Vancouver 2023’ün ikinci gününde, birden fazla üründe 10 sıfır günü başarıyla kullanan yarışmacılara 475.000 $ ödül verildi.

Saldırıya uğrayan hedefler arasında Tesla Model 3, Microsoft’un Teams iletişim platformu, Oracle VirtualBox sanallaştırma platformu ve Ubuntu masaüstü işletim sistemi yer alıyor.

İkinci günün öne çıkan özelliği, Synactiv’den David Berard’ın başarılı çabasıydı (@_p0ly_) ve Vincent Dehors (@vdehors) Tesla’ya karşı – bilgi-eğlence sınırsız rota.

Bu onlara 250.000 $ kazandırdı ve Hap Overflow ve OOB yazma istismar zincirini hackledikten sonra eve bir Tesla Model 3 götürmelerine izin verdi.

Synactive’den Thomas Imbert (@mastoon) ve Thomas Bowserer (@MajorTomSec), 80.000 $ kazanmak için bir Oracle VirtualBox ana bilgisayarındaki ayrıcalıkları artırmak için üç hata zincirini başarıyla kullandı.

Üçüncü denemede Synactive, Tanguy Dubroca (@SidewayRE), Ubuntu masaüstünde ayrıcalık artışına yol açan sıfır günü ölçeklendiren yanlış bir işaretçiyi tanıttığı için 30.000 $ ile ödüllendirildi.

Takım Viettel (@vcslabMicrosoft Teams’i 78.000 $ kazanmak için 2 dolarlık bir zincirle ve Oracle’ın VirtualBox’ını bir kullanım sonrası ücretsiz (UAF) hatası ve 40.000 $ için başlatılmamış bir değişken kullanarak hackledi.

İlk gün, bir Tesla Model 3’ü Windows 11, Microsoft SharePoint, Oracle VirtualBox ve macOS’ta 12 sıfır gün boyunca başarıyla demosunu gerçekleştiren Pwn2Own yarışmacıları, 375.000 $ ve bir Tesla Model 3 ile ödüllendirildi.

Yarışmanın son gününde, güvenlik araştırmacıları Ubuntu Desktop, Microsoft Teams, Windows 11 ve VMware Workstation’daki sıfır gün hatalarından yararlanmaya çalışacak.

Pwn2Own Vancouver 2023 22 Mart – 24 Mart tarihleri ​​arasında yarışmacılar 1.080.000 $ nakit ve iki Tesla Model 3 araba kazanabilir.

araştırmacılar Hedef ürünler Yarışma sırasında kurumsal uygulamalar, kurumsal iletişim, sunucular, sanallaştırma, otomotiv ve yerel ayrıcalık genişletme (EoP) dahil olmak üzere birçok kategoriden.

ZDI, “Bu yılki etkinlik, iki Tesla girişimi de dahil olmak üzere dokuz farklı hedefi hedefleyen 19 girişimiz olduğu için bazı heyecan verici araştırmalar vaat ediyor.”

“Bu yılki etkinlik için, her tur tamamen fiyatlandırılacak, yani tüm istismarlar başarılı olursa, 1.000.000 USD’nin üzerinde bağış yapacağız.”

Trend Micro’nun Sıfır Gün Girişimi, satıcıların teknik ayrıntıların kamuya açıklanmasından sonraki 90 gün içinde Pwn2Own sırasında demosu yapılan ve ifşa edilen sıfır gün güvenlik açıklarına yama yapmasını gerektirir.

Pwn2Own Vancouver 2022’de güvenlik araştırmacıları bir Tesla Model 3 bilgi-eğlence sistemini hackledi, Windows 11’i altı kez kaldırdı, üç Microsoft ekibini sıfır güne maruz bıraktı ve Ubuntu masaüstünü dört kez kullanarak 1.155.000 dolar kazandı.